Internet je plný otravných reklam a do budoucna jich bude pravděpodobně přibývat. V posledních měsících se však objevují informace o tom, že se v systému Android zobrazují okna s reklamou. Na tom není nic zajímavého, protože většinou si vyskakovací okna omylem uživatel sám povolí v prohlížeči Chrome např. při navštívení pornostránek.
Velice zvláštní jsou však komentáře o tom, že se velká okna s reklamou zobrazovala v internetových prohlížečích, a to i s nainstalovaným AdBlockem. Za celým problémem stojí malware Hiddad a AdBlock je nemůže blokovat, protože reklama ve skutečnosti není na webové stránce v prohlížeči, ale v další aplikaci, která prohlížeč překryje.
Co je na malwaru zajímavého?
Od čtenáře jsem dostal dotaz, jestli bych mohl poradit ohledně tohoto malwaru a obdržel jsem i infikované APK soubory. Aplikace jsem tedy zkusil nainstalovat na mobilu Nokia 9 PureView se systémem Android One (Android 9.0 Pie). Všechny APK soubory jsou skutečně infikované malwarem Hiddad, a to v různých variantách.
Především jeden APK soubor byl velice zajímavý svou instalací. V průvodci instalace nebyl totiž vidět název aplikace, kterou jsem instaloval, což rozhodně není běžné. Po instalaci se v menu aplikací na pár vteřin zobrazila ikona s aplikací „Settings“. Aplikace se tedy tváří, že se jedná o nastavení telefonu a ikona mi připomínala nastavení z mobilů od čínských výrobců. Aplikace si při instalaci vyžaduje přístup k poloze mobilu, identifikaci zařízení a čtení obsahu na SD kartě. To však vyžaduje téměř každá aplikace a není na tom nic zvláštního.
Mobil jsem nechal připojený k internetu, aby měl malware vzdálený přístup. Aktivní začala být jen jedna varianta malwaru, kterou jsem tu právě popsal. Ostatní jsou pravděpodobně již mimo provoz, nebo vzdálený přístup již blokuje samotný operační systém. Díky Androidu One má Nokia 9 PureView totiž nejnovější bezpečnostní záplaty. Na neaktualizovaných mobilech mohou stále fungovat i ostatní verze.
Přibližně za tři hodiny se reklama skutečně zobrazovala, a to při sledování videa v aplikaci YouTube, internetovém prohlížeči Google Chrome a také Samsung Internet.
Jaké varianty jsem zaznamenal a co malware dělá?
Každá aplikace se vyvíjí a má nové verze, a to vždy platilo i u virů, malwarů a dalších škodlivých aplikací. Během mého testu jsem v APK souborech zaznamenal dvě varianty, a to se značením Hiddad.AHD a Hiddad.AEW. Podle stránek antivirové společnosti ESET však existuje variant daleko více.
Co vlastně Hiddad dělá? No, jelikož se jedná o malware, tak by mohl mít vzdálený přístup k různým datům v mobilu/tabletu. Ano, přístup by mohl mít k e-mailům, logovat psaní na klávesnici a získat i přihlašovací údaje. Dle mého názoru se malware snaží jen vydělat nějaké ty peníze a zobrazuje jen reklamu, což není v dnešní době nic neobvyklého.
Pro experimentální účely si můžete stáhnout vzorek malwaru Hiddad.AHD.
Jaké je řešení?
Jelikož aplikace po nainstalování úplně zmizela z menu aplikací, tak jsem se ji pokusil najít i v nastavení aplikací a následně i v aplikaci Files Go. Nikde jsem ji však nenašel a autor využil krycí postup, který je znám již řadu let ze světa počítačů.
Řešení k odstranění je mnoho a není to nic složitého, ale já jsem se pokusil najít postup, který by zvládl úplně každý. Ano, zkusil jsem tedy stáhnout a nainstalovat antiviry. Vyzkoušel jsem placenou prémiovou verzi Avast Mobile Security, který malware vůbec nedetekoval, a to ani při znovu nainstalování aplikace. Dalším antivirem byl ESET Mobile Security v neplacené verzi. ESET si vedl výborně a malware detekoval okamžitě a všechny varianty malwaru úspěšně odstranil.
Stačí tedy v Obchodu Play stáhnout aplikaci ESET Mobile Security v bezplatné verzi, nainstalovat ji, spustit a udělit ji potřebná oprávnění, nechat stáhnout aktualizace a spustit první test. Po nalezení pak stačí nalezené hrozby rozklepnout a odstranit. Poté doporučuji mobil restartovat a provést kontrolu znovu.